Практикум: Фірмовий захист
Юридичні фірми стають усе привабливішими мішенями для хакерів та інших незваних гостей, оскільки саме там можна знайти безліч цікавої та корисної конфіденційної інформації
Безпека даних клієнтів — одне з етичних завдань будь-якої юридичної фірми незалежно від її розміру. Звичайно, великі фірми більше опікуються кіберзахистом, тримають міцнішу оборону та витрачають більше коштів на захист, але це не завжди допомагає. Так, новітня історія знає приклади успішних зламів панамської юридичної фірми Mossack Fonseca, американської Cravath Swaine & Moore, а також міжнародних — Weil Gotshal & Manges і навіть DLA Piper, яка зовсім недавно постраждала від сумнозвісного вірусу Petya. Про фірми меншого розміру відомо менше, адже їхні клієнти та їхня інформація хакерів цікавить не так часто і фірми переважно стають жертвами програм-вимагачів — американські юрфірми невеликого розміру (близько 10 юристів) регулярно виплачують «данину» хакерам, що блокують комп’ютерні мережі цих фірм. Суми сягають 25 000 доларів.
Клієнти від такого не у захваті, тож усе частіше вимагають від юрфірм наявності надійної програми безпеки даних, у тому числі й кібербезпеки. Щоправда, на юридичні фірми така прискіпливість враження не справляє. Ні на українські, ні навіть на американські. Американська компанія Logicforce, що спеціалізується на юридичних технологіях, провела нещодавно дослідження, оцінивши готовність 200 юридичних фірм до кіберзахисту. Результати — не надто втішні. По-перше, як з’ясувалося, всі фірми зазнають хакерських атак, але лише 66 % їх фіксують, а решта про них навіть не здогадується. По-друге, розмір, прибутки та інші показники юрфірм для хакерів жодного значення не мають — кібератак дістається всім приблизно однаково. По-третє, лише 5 % юрфірм повністю дотримуються прописаних ними ж правил кібербезпеки, а план ліквідації наслідків кібератаки мають менше, ніж половина юркомпаній. Ну, і ще один із сумних висновків — 100 % фірм не відповідають повною мірою стандартам безпеки своїх клієнтів.
В Україні хакерам компанію складають силовики, які все частіше з’являються з метою обшуку. Тому завдання із захисту інформації дещо ускладнюється. Але при надійному кіберзахисті отримати доступ до конфіденційної клієнтської інформації непроханим гостям в офісі теж буде майже неможливо, адже тони паперів уже давно ніхто не зберігає.
Будьте уважні
Як показує практика, захист інформації в юрфірмі — непросте завдання, адже будь-яка сучасна система кіберзахисту, побудована найкращими фахівцями, зрештою, може зійти нанівець у разі, коли помічник юриста відкрив підозрілий файл (за статистикою, 59 % імейлів — це спам чи фішинг). Тож оновлення паролів, шифрування, кількаетапна аутентифікація тощо — це, звичайно, добре, але понад 80 % порушень відбуваються саме через людський фактор.
Йдеться не лише про нехтування правилами безпеки. Трапляються випадки, коли юристи самі помилково віддають цінну інформацію стороннім особам. Що, приміром, сталося наприкінці липня цього року з юрфірмою Bressler, Amery & Ross, яка представляла фінансового гіганта Wells Fargo у спорі за позовом колишнього співробітника. Один з адвокатів примудрився помилково вислати адвокату позивача 1,4 Гбайта конфіденційної інформації, а саме: дані близько 50 000 віп-клієнтів Wells Fargo — імена, номери соціального страхування, фінансові деталі, суми інвестицій тощо. Юрфірма надіслала прохання повернути CD, але позивач відмовився їх віддавати, пославшись на відсутність застереження про помилковість та конфіденційність, а потім розповів пресі про ляп юридичного радника та натякнув, що тепер багато знає.
Скандал із Wells Fargo, хоч і не стосувався кіберзахисту як такого, спричинив новий виток дискусії, як усе ж таки треба захищати конфіденційну інформацію і чи не забагато юристи мають свободи при її використанні. Тож американськими медіа прокотилася чергова хвиля рекомендацій із побудови захисту інформації, більшість яких стосуються саме людського фактора.
Отже, на що варто витратити час та гроші сьогодні?
1. Зверніться до професіоналів. Навіть якщо ваш бюджет обмежений, а компанія налічує всього п’ятеро юристів, не варто економити на кібербезпеці. Ліпше скористатися послугами фахівців у цій галузі, які потім займатимуться і оновленням систем захисту та реагуватимуть на спроби проникнення (як успішні, так і неуспішні). Вони також добре обізнані і на людських помилках, що призводять до втрати інформації, і можуть проводити регулярний аудит системи захисту.
2. Розробіть детальну програму із захисту даних. Це означає не просто прописати правила та озвучити їх співробітникам. У створенні програми мають брати участь усі департаменти фірми, що так чи інакше відповідають за збереження конфіденційної інформації, оскільки вони добре розуміються на специфіці своєї частини роботи, щоб не вийшло так, що половину пунктів програми фактично не можна виконати через їхню, м’яко кажучи, непродуманість. Також кожен департамент повинен мати відповідальну за захист інформації людину, яка у разі чого допомагатиме ліквідовувати наслідки проникнення чи втрати даних. Команда з «відповідальних за захист» повинна вміти знаходити спільну мову між собою та з іншими співробітниками фірми.
3. Призначити головного. Коли команду із захисту інформації буде створено, потрібно визначитися, хто нею керуватиме та відповідатиме у разі проблем. Зазвичай у юридичній фірмі це або директор, або партнер, що розуміється на цьому питанні, або IT-директор, залежно від розміру та структури компанії. За великим рахунком, немає різниці, хто це буде. Головне — щоб цю людину слухали, поважали і щоб вона не була завантажена настільки, що захист інформації, зрештою, зійде нанівець. Адже потрібно стежити за тенденціями та періодично проводити аудит, не говорячи вже про оперативну ліквідацію наслідків у разі проникнення або помилкової втрати інформації.
4. Контроль за зберіганням інформації. Багато фірм помилково вважають, що, знайшовши надійне місце для зберігання інформації, вони на коні. Незаслужено мало уваги приділяється зйомним носіям інформації, смартфонам та ноутбукам співробітників, які подорожують з господарями додому, у відрядження та відпустки. Це при тому, що втрата даних, що там зберігаються, може заподіяти ще більшу шкоду, ніж системне проникнення. Ні, змушувати юристів сидіти 24/7 в офісі не потрібно. Але інформацію необхідно розподілити на декілька категорій залежно від ступеня її важливості та встановити чіткі правила переміщення для кожної з категорії.
5. Бути готовим до найгіршого. Необхідно пам’ятати, що жодна фірма не застрахована від проникнення або помилкової втрати інформації, тож варто завжди мати план «Б» у разі, коли клієнтська інформація опиниться у чужих руках. Перш за все, IT-фахівці повинні вміти та мати можливість швидко реагувати на проникнення. По-друге, потрібно мати стратегію із захисту репутації. Дуже багато компаній у перші дні після інциденту примудряються наговорити зайвого або ж зовсім нічого не робити, лише погіршуючи ситуацію. По-третє, страхові компанії вже потроху починають пропонувати свої послуги і на випадок кібератак, щоправда, висуваючи при цьому і досить серйозні вимоги до системи захисту. У США такі поліси сьогодні мають 23 % юрфірм.
6. Людський фактор. Тут усе просто. Контроль і навчання, навчання і контроль. Якщо не допомагає, то можна запровадити і систему штрафів. Головне — результат.
Чим більше скандалів через втрату конфіденційної інформації юрфірмами відбувається, тим серйозніше клієнти ставляться до аудиту юрфірм на предмет кіберзахисту. 34 % американських юрфірм, за даними Logicforce, торік пройшли такий аудит і 26 % з них втратили клієнтів через те, що провалили цю перевірку. Очікується, що у 2017 році з аудитом стикнуться вже 50 % юрфірм, а у 2018-му — 65 %. В Україні ця цифра вочевидь є меншою, але світові тенденції її навряд чи оминуть.
